本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Cont AWS rol Tower 中检测并解决漂移问题
识别和解决偏差问题是 Cont AWS rol Tower 管理账户管理员的一项常规操作任务。解决偏移问题有助于确保符合监管要求。
在创建着陆区时,着陆区以及所有组织单位 (OUs)、账户和资源都符合您选择的控件强制执行的管理规则。当您和您组织内的成员使用登录区时,此合规性状态可能会发生更改。有些更改可能是偶然的,而有些更改可能会故意响应对时间敏感的操作事件。
偏移检测可帮助您识别需要更改或配置更新的资源以解决偏移。
检测偏移
AWSControl Tower 会自动检测漂移。要检测偏差,该AWSControlTowerAdmin角色需要持续访问您的管理帐户,这样 Cont AWS rol Tower 才能对进行只读API调用 AWS Organizations。这些API呼叫显示为 AWS CloudTrail 事件。
漂移出现在汇总到审计账户中的亚马逊简单通知服务 (AmazonSNS) 通知中。每个成员账户中的通知都会向本地 Amazon SNS 主题和 Lambda 函数发送提醒。
对于属于 AWS Security Hub 服务管理标准:Cont AWS rol Tower 的控件,偏差会显示在 Cont AWS rol Tower 控制台的 “账户和账户详情” 页面上,并通过亚马逊SNS通知显示。
成员账户管理员可以(作为最佳实践,他们应该)订阅特定账户的SNS漂移通知。例如,该aws-controltower-AggregateSecurityNotificationsSNS主题提供偏差通知。当出现偏差时,Cont AWS rol Tower 控制台会向管理账户管理员发出指示。有关漂移检测和通知SNS主题的更多信息,请参阅漂移防护和通知。
偏移通知去重
如果同一组资源上多次出现相同类型的偏移,Cont AWS rol Tower 将仅针对初始偏移实例发送SNS通知。如果 Cont AWS rol Tower 检测到该偏差实例已得到修复,则仅当这些相同的资源再次出现偏移时,它才会再次发送通知。
示例:账户漂SCP移和漂移按以下方式处理
-
如果您SCP多次修改同一个托管,则首次修改时会收到通知。
-
如果您修改了托管SCP,然后修复了偏差,然后再次对其进行修改,您将收到两条通知。
-
如果一个账户在同一个来源和目标之间OUs多次移动,而没有先修复偏移,则会发送一条通知,即使该账户在这些来源和目标之间移动了不OUs止一次。
账户偏移的类型
-
账户在两者之间移动 OUs
-
账户从组织中删除
注意
当您将账户从一个 OU 转移到另一个 OU 时,之前 OU 中的控件不会移除。如果您在目标 OU 上启用任何基于钩子的新控件,则基于钩子的旧控件将从账户中移除,并由新控件取而代之。当账户发生变化时,必须始终手动删除使用SCPs和 AWS Config 规则实现的控件OUs。
策略偏移的类型
-
SCP已更新
-
SCP附在 OU
-
SCP与 OU 分离
-
SCP已附加到账户
有关更多信息,请参阅 Types of Governance Drift。
解决偏移
尽管检测是自动进行的,但解决偏差的步骤必须通过控制台手动完成,对于控件,则必须通过调用ResetEnabledControlAPI。
您可以通过两种方式来解决登录区版本中的偏移问题。
-
如果您使用的是最新的着陆区版本,则当您选择 “重置” 然后选择 “确认” 时,您的漂移着陆区资源将重置为保存的 Cont AWS rol Tower 配置。登录区版本保持不变。
-
如果您使用的不是最新版本,则必须选择更新。登录区会升级到最新的登录区版本。偏移问题在此过程中得到解决。
关于漂移和SCP扫描的注意事项
AWSControl Tower SCPs 每天都会扫描您的托管控件,以验证相应的控件是否正确应用以及它们是否存在偏差。为了检索SCPs并对其进行检查,Cont AWS rol Tower 使用您的管理账户中的角色代表您致电 AWS Organizations 。
如果 C AWS ontrol Tower 扫描发现偏移,您将收到通知。 AWS对于每个漂移问题,Control Tower 只发送一个通知,因此,如果你的着陆区已经处于漂移状态,除非找到新的漂移物品,否则你不会收到其他通知。
AWS Organizations 限制了每种方法的调APIs用频率。此限制以每秒事务数 (TPS) 表示,称为TPS限制、限制速率或API请求速率。当 Cont AWS rol Tower SCPs 通过呼叫 AWS Organizations对您进行审核时,Cont AWS rol Tower API 拨出的呼叫将计入您的上TPS限,因为 Cont AWS rol Tower 使用管理帐户拨打电话。
在极少数情况下,无论是通过第三方解决方案还是通过您编写的自定义脚本APIs反复调用,都可能达到此限制。例如,如果您和 Cont AWS rol Tower AWS Organizations APIs 在同一时刻(1 秒内)呼叫相同的呼叫,并且达到了TPS限制,则后续呼叫会受到限制。也就是说,这些调用会返回错误,例如 Rate exceeded。
如果超过API请求速率
-
如果 Contro AWS l Tower 达到限制并受到限制,我们会暂停执行审计,稍后再恢复。
-
如果您的工作负载达到限制并受到节流,则可能会出现从轻微延迟到工作负载中出现致命错误的不同结果,具体取决于工作负载的配置方式。这种边缘情况值得注意。
每日SCP扫描包括
-
正在检索您最近的活跃状态OUs。
-
对于每个注册的 OU,检索所有由 Cont AWS rol Tower SCPs 管理的、与该组织关联的 OU。托管SCPs的标识符以开头
aws-guardrails。 -
对于在 OU 上启用的每项预防性控制,验证该控件的策略声明是否存在于 OU 的托管中SCPs。
一个 OU 可能有一个或多个托管SCPs。
需要立即解决的偏移类型
大多数类型的偏移可以由管理员解决。必须立即解决几种类型的偏差,包括删除 Cont AWS rol Tower 着陆区所需的组织单位。以下是一些您需要避免的重大偏移示例:
-
不要删除安全 OU:不应删除 Cont AWS rol Tower 在设置着陆区期间最初名为 Sec ur ity 的组织单位。如果删除该组织单位,系统会显示一条错误消息,指示您立即重置登录区。在重置完成之前,您将无法在 Cont AWS rol Tower 中执行任何其他操作。
-
不要删除必需的角色:当您登录AWS控制台时,Control Tower 会检查某些 AWS Identity and Access Management (IAM) 角色是否存在IAM角色偏差。如果这些角色缺失或无法访问,您将看到一个错误页面,指示您重置登录区。这些角色包括
AWSControlTowerAdmin、AWSControlTowerCloudTrailRole、AWSControlTowerStackSetRole。有关这些角色的更多信息,请参阅 使用 Cont AWS rol Tower 控制台所需的权限。
-
不要删除所有额外内容OUs:如果您在 Cont AWS rol Tower 设置着陆区期间删除了最初名为 Sandbox 的组织单位,则您的着陆区将处于漂移状态,但您仍然可以使用 Cont AWS rol Tower。至少需要一个附加 OU 才能运行 Cont AWS rol Tower,但它不一定是沙盒 OU。
-
不要删除共享帐户:如果您从 Foundational 中删除共享帐户OUs,例如从安全 OU 中删除登录帐户,则您的着陆区域将处于漂移状态。必须先重置着陆区,然后才能继续使用 Cont AWS rol Tower 控制台。
对资源的可修复更改
以下是允许对 Cont AWS rol Tower 资源进行更改的列表,尽管这些更改会造成可解决的偏差。尽管可能需要刷新,但这些允许操作的结果可在 Cont AWS rol Tower 控制台中查看。
有关如何解决由此产生的偏差的更多信息,请参阅在 Cont AWSrol Tower 之外管理资源。
允许在 Cont AWS rol Tower 控制台之外进行更改
-
更改已注册 OU 的名称。
-
更改安全 OU 的名称。
-
在 “非基础OUs版” 中更改成员帐户的名称。
-
在安全 OU 中更改 Cont AWS rol Tower 共享账户的名称。
-
删除非基础 OU。
-
从非基础 OU 中删除已注册的账户。
-
更改安全 OU 中共享账户的电子邮件地址。
-
更改已注册 OU 中成员账户的电子邮件地址。
注意
在账户之间移动OUs被视为漂移,必须解决这个问题。
漂移和新账户配置
如果你的着陆区处于漂移状态,那么 Contro AWS l Tower 中的注册账户功能将无法使用。在这种情况下,您必须通过 S AWS ervice Catalog 配置新帐户。有关说明,请参阅 使用 Account Factory 配置 AWS Service Catalog 账户 。
特别是,如果您通过 Service Catalog 对账户进行了某些更改,例如更改产品组合的名称,则注册账户功能将不起作用。
